lamu 10 Geschrieben 30. Juni 2009 Melden Teilen Geschrieben 30. Juni 2009 Hallo, wie kann ich verhindern, daß jemand mit einem vorkonfigurierten USB-Stick ins TOR-Netz einsteigt, um anonym zu surfen? Wir haben keinen Proxy im Einsatz. Bestimmte Ports auf der Firewall sperren? Danke lamu Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 30. Juni 2009 Melden Teilen Geschrieben 30. Juni 2009 Hi, hmmm das wird wohl nicht gehen. Tor verwendet i. d. R. Port 443 und kann sogar auf andere Ports ausweichen. Selbst mit einem Proxy ist es nicht wirklich einfach die Verwendung von Tor zur verhindern. Viele Grüße Zitieren Link zu diesem Kommentar
lamu 10 Geschrieben 30. Juni 2009 Autor Melden Teilen Geschrieben 30. Juni 2009 Puh - dann kann ich also bei der Geschäftsführung nicht guten Gewissens behaupten, daß niemand pornografische Inhalte u.s.w. abrufen kann. Was damit ja problemlos geht. :mad: Danke trotzdem lamu Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 30. Juni 2009 Melden Teilen Geschrieben 30. Juni 2009 Ist ist einfach, aber machbar: Proxy mit z.B. McAfee - enterprise - McAfee Web Gateway (huch, Mcafee hat den Webwasher gekauft) installieren, freien Internetzugriff ansonsten sperren. Der Webwasher kann auch Zugriffe via SSL filtern. Ob jeweils alle TOR-Server bei sind -> k.A. Wichtiger: User: keine Adminrechte -> Per Gruppenrichtlinie und notfalls mit Tools den Zugriff auf USB-Sticks und Floppy verhindern (ja, das geht). Per Gruppenrichtline Software Restrictions einführen, damit User nur noch Programm von Lokationen starten können, auf denen sie kein Schreibrecht haben. Auch das geht, macht aber Arbeit. Hier klappt es sehr gut. Nix Google Toolbar, und so. -Zahni Zitieren Link zu diesem Kommentar
lamu 10 Geschrieben 30. Juni 2009 Autor Melden Teilen Geschrieben 30. Juni 2009 AHA - werde ich mal testen. Danke lamu Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 30. Juni 2009 Melden Teilen Geschrieben 30. Juni 2009 Die Listen mit den IPs der TOR Gateway server sind jedoch mit vorsicht zu genießen, da sie i. d. R. unvollständig sind... aber besser als nix :) Zitieren Link zu diesem Kommentar
mike280399 10 Geschrieben 30. Juni 2009 Melden Teilen Geschrieben 30. Juni 2009 USB Port sperren - administrator :wink2: Zitieren Link zu diesem Kommentar
nightwatcher 10 Geschrieben 1. Juli 2009 Melden Teilen Geschrieben 1. Juli 2009 Nur mal so als Frage, nehmen wir mal an das TOR nicht existiert. Wenn Du keinen Proxy dazwischen geschaltet hast und jeder direkt ins Internet kommt, dann kannst Du doch eh nicht vor deiner Geschäftsführung behaupten dass keiner auf Nacktbilder oder ähnliches kommt. Da ist dann TOR noch das kleinste Problem, da doch die generelle Sicherheit fehlt. Abgesehen davon kenn ich keine einzige Lösung die Nacktbilder verhindern kann. Was nützt es wenn man Playboy nicht mehr aufrufen kann, aber unter der Bildersuche von Google, Bing und Co alles zu sehen bekommt. Folglich könntest eh immer nur sagen, dass Du alles dir mögliche gemacht hast um es zu verhindern, aber behaupten.......... Gruß nightwatcher Edit: Bitte keine Links posten wenn diese nicht jugendfrei sind ! Ich habe den Link dazu entfernt. XP-Fan Zitieren Link zu diesem Kommentar
Bloodie 10 Geschrieben 1. Juli 2009 Melden Teilen Geschrieben 1. Juli 2009 Eine 100% sichere Lösung wird es da nie geben , ähnlich wie bei anderen Security Lösungen auch. Man kann aber einen großteil mit einer Proxy Lösung erschlagen - wir haben z.B. eine Bluecoat im Einsatz und ich muss sagen , dass die recht gut filtert und das auch ein Grossteil der Bilder bei Google-Ergebnisseite rausgefiltert werden. Aber generell wird man da immer wieder an Grenzen stoßen. Aber die Frage ist ja auch , was man damit bezwecken will. Auf der einen Seite hast du gesetzliche Vorgaben wie z.B. (glaube ich zumindest) das wenn man z.B. Minderjährige (z.B. Praktikanten oder Azubis) im Betrieb hat , man sicherstellen muss , das der Zugang zu pornografischen Inhalten erschwert wird - sowas kann man mit einer Proxy Lösung erreichen. Ansonsten stell ich immer die Frage , wo der Unterschied besteht , ob sich nun ein Mitarbeiter den ganzen Tag irgendwelche pornografischen Bilder anschaut oder den ganzen Tag auf Ebay, Amazon , Bild oder sonst wo unterwegs ist. Das Resultat bleibt das Gleiche: er macht auf jedenfall nicht das , wofür Ihn der Arbeitgeber bezahlt. Lassen wir jetzt mal das illegal Pornografische aussen vor , darüber gibt es keine Diskussion und die Konsequenzen dazu sollten jedem klar sein - aber die legalen Pornografischen oder erotischen Inhalte sehe ich da in keinem Unterschied zu irgend welchen anderen Seiten , die die Leute von der Arbeit abhalten. Zitieren Link zu diesem Kommentar
lamu 10 Geschrieben 1. Juli 2009 Autor Melden Teilen Geschrieben 1. Juli 2009 Nur mal so als Frage, nehmen wir mal an das TOR nicht existiert. Wenn Du keinen Proxy dazwischen geschaltet hast und jeder direkt ins Internet kommt, dann kannst Du doch eh nicht vor deiner Geschäftsführung behaupten dass keiner auf Nacktbilder oder ähnliches kommt. Wir regeln das über die Firewall, die einfach URL's mit bestimmten Begriffen sperrt. Mehr ist nicht drin. Gruss lamu Zitieren Link zu diesem Kommentar
nightwatcher 10 Geschrieben 1. Juli 2009 Melden Teilen Geschrieben 1. Juli 2009 Falls die URLs manuelle eingetragen werden ist dies wirklich nur ein sehr kleiner Ansatz. Wenn ich an deiner Stelle wäre, würde ich eher über das Thema nachdenken, wie ich die Situation grunsätzlich verbessern kann anstelle über TOR als Schwachstelle nachzudenken. ansonsten hast Du ja bereits die Lösung für TOR erhalten. Alle URLs ebenfalls in der Firewall eintragen, sodass diese geblockt werden. Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 1. Juli 2009 Melden Teilen Geschrieben 1. Juli 2009 ... zumal TOR nicht das einzige "Problem" an der Stelle ist. Es gibt diverse Systeme die ähnliche Funktionen zur Verfügung stellen. Sehr verbreitet sind auch offene Proxy Server. Wie du siehst, gibt es sehr viele Möglichkeiten entsprechende Sperren (mit einfachten Mitteln) zu umgehen. Der größte Schutz an der Stelle ist meiner Meinung nach der Einsatz eines Proxy Servers mit Content Filtering (und regelmäßigen Updates von Sperrlisten). Wichtig ist dann natürlich auch, dass die Clients den Proxy nicht umgehen können! Sprich die FW muß so konfiguriert sein, dass nur der Proxy Server mit dem Internet sprechen darf und alle anderen Maschinen im Netz keine Möglichkeit haben ins Netz zu kommen (deny all services and ports). Ist ein solcher Server im Einsatz, hat man schon mal mehr als 90 % seiner Benutzer "gefangen" um die restlichen 10 % zu bekommen muß man richtig viel Aufwand betreiben... Viele Grüße Zitieren Link zu diesem Kommentar
Bloodie 10 Geschrieben 1. Juli 2009 Melden Teilen Geschrieben 1. Juli 2009 Wobei man immerwieder betrachten muss , für wen so ein Aufwand in Frage kommt. Wenn man nicht gerade sowas wie ein "Internet Cafe" oder ähnliches Scenarien , wo wildfremde Menschen den Internet Zugang nutzen , sondern in einer Firma arbeitet , wo der Internetzugang für den dienstlichen Alltag bereitgestellt wird , reicht ja normal schon als Aufwand , wenn es eine entsprechende Anweisung der Geschäftsleitung gibt, wie und was über diesen Internet Zugang gemacht werden darf. Theoretisch würde dann ja nur ein Proxy reichen , der protokolliert , um die Verstöße gegen so eine Anweisung aufzudecken. Schränkt man dann noch ein über so ein Proxy und bestimmte User umgehen das mit diversen Mitteln , kann man hier schon einen Vorsatz unterstellen , der entsprechend konsequent behandelt werden sollte. Ich sehe unseren Proxy mehr als "Hilfe zur Selbsterziehung" und zum anderen um unseren Chefs beweisen zu können , dass die Mitarbeiter sehr wohl arbeiten und nicht - wie oft vermutet - den ganzen Tag surfen. So hat es sich auch bei uns herausgestellt , das der Proxy eigentlich mehr den Nutzern - zumindest den Chefs gegenüber - Vorteile bringt , als wie Nachteile. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.